能逃避机器学习检测的 Cerber 勒索变种

摘要

CERBER勒索家族已经被发现通过一种新技术来逃避检测:使用了一种新的方法用加载出来的程序来逃避机器学习检测技术。其被设计为把一个二进制文件掏空,然后把CERBER的代码替换进去,再使用其他手段加载运行。

行为分析

勒索软件通常通过电子邮件传播,这些新的CERBER变体也不例外。电子邮件里面可以用各种各样的程序进行勒索软件的传播 。

比如邮件里面包含一个链接指向一个自解压的文件,该文件已经上传到攻击者控制的一个Dropbox账户里面,被攻击目标接着就会自动下载然后打开里面的程序,将会入侵整个系统。

下面的流程图大概说明了该变种的运行过程。

下载下来的自解压文件包含下面3个文件,VBS文件,DLL和1454KB的配置文件。在用户电脑中三个文件名字都会不一样,这里用他们的hash标注。

自解压文件是exe后缀,双击之后会自动做上面流程图的事情,sfx*为关键参数

一开始vbs脚本是通过WSH运行,脚本反过来通过rundll32.exe与DLL的名字文件8ivq.dll作为它的参数来加载DLL文件,写的很简单明了。

DLL文件非常的简单明了。所有的操作都是为了读1454KB的配置文件,先解密一部分配置文件,且无论解密与否都得一直运行着。

下图为DLL文件获取同一目录下文件名为“x”的配置文件,打开并读取相关字段并解密

DLL文件没有包含文件或加密;然而,配置文件x中的代码在解密后是恶意的。

根据下图可以判断出x文件的开始地址

文件x含有加载各种配置设置,加载出来的程序会去查找是否在虚拟机中运行,或者是否在沙箱中运行,是否有分析工具在机子中运行,或一些AV产品在运行,只要检测到就停止运行。

下面是样本的一些检测产品名称:

分析工具

  • Msconfig
  • Sandboxes
  • Regedit
  • Task Manager
  • Virtual Machines
  • Wireshark

杀毒软件

  • 360
  • AVG
  • Bitdefender
  • Dr. Web
  • Kaspersky
  • Norton
  • Trend Micro

一般主流的加载payload是注入代码给另一个程序,而在这种情况下,注入代码是整个Cerber的二进制文件,并且其可以注入到下面的任何进程



    

  1. C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe 
    2. 

  2. C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe 
    3. 

  3. C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe 
    4. 

  4. C:\Windows\SysWow64\WerFault.exe 
    5. 

  5. C:\Windows\System32\WerFault.exe 
    6. 



可以看一下双击自解压文件后的效果,双击最左边,出来右边一堆东西,过了一会各种弹窗








很明显的cerber勒索


机器学习和逃逸


接下来来到重点,Cerber已经被早一些的安全解决方案给阻止了,将Cerber运行在一个正常程序(与加载程序的做法一样)可以帮助逃避行为监控,但是为什么重新将Cerber加入压缩包并使用单独一个加载器来变得更麻烦呢?Cerber的早期版本已经有代码注入的例子了,它可以模仿成一个普通程序,并且能更好的模仿程序的行为,所以为什么单独加载是必要的呢?


答案在于通过机器学习行业来解决安全问题。机器学习行业已经创造出一种基于特征而不是签名的方法来主动防御恶意文件。重新打压缩包和加载机制被Cerber利用后可以造成对于静态机器学习方法出现问题——也就是说,该方法分析文件不会有任何的执行或仿真。


自解压文件和简单明了的文件对于静态机器学习方法来说是个问题。所有自解压文件无论其内容怎么样,可能结构看起来相似。仅仅只有解压二进制文件这样的功能可能不足以判断是恶意的,换句话说,Cerber被打压缩包的行为可以说是用来设计成专门用来逃避机器学习文件检测的。对于所有新的恶意软件对抗技术,等效的规避技术是很必要创建出来的。


这个新的逃避技术成功将使用多层防护的反恶意软件给绕过了。Cerber有对其他技术的弱点。举个例子,有解压缩。DLL

文件将容易的给他创建一个对多模式;如果压缩包是可疑的,那么如果压缩内容有存档的话能够更易于识别。有各种各样的解决方案可以防止这类变种的危害,只要不是过度依赖机器学习的软件,还是可以保护客户免受这些威胁的。


样本hash




    

  1. VBS:09ef4c6b8a297bf4cf161d4c12260ca58cc7b05eb4de6e728d55a4acd94606d4a61eb7c8D 
    2. 

  2. 配置文件:7a6bc9e3eb2b42e7038a0850c56e68f3fec0378b2738fe3632a7e4c 
    3. 

  3. DLL:e3e5d9f1bacc4f43af3fab28a905fa4559f98e4dadede376e199360d14b39153 
    4. 

  4. 自解压:f4dbbb2c4d83c2bbdf4faa4cf6b78780b01c2a2c59bc399e5b746567ce6367dd 
    5. 



作者:黑鸟

来源:51CTO
				


				
时间: 2024-11-10 00:11:33

		
		


		


	

	
	

		


		
能逃避机器学习检测的 Cerber 勒索变种的相关文章


								

		

			

                美国政府网站发现JS下载器 攻击者利用网站高信誉度用于投放Cerber勒索软件
			

		

		

									

				网络安全公司NewSky Security的研究员Ankit Anubhav上周发现一美国政府网站存在一个恶意JavaScript下载器,可投放非常危险的 Cerber勒索软件 . NewSky Security 公司的研究员 Ankit Anubhav 称 , " 美国政府网站上存在的 JavaScript 恶意软件会启动 PowerShell 连接 C&C服务器. " 下载文件伪装为gif文件 实际是Cerber勒索软件 该网站提供.zip文件,该文件存在一个含有模糊化的P			

		

	

				

		

			

                超越黑名单,运用机器学习检测恶意URL
			

		

		

									

				山石网科技术团队受邀在Blackhat Asia 2017上发表演讲,以下为论文简介: 许多类型的现代malwares使用基于http的通信.与传统的AV签名,或系统级的行为模型相比,网络级行为签名/建模在恶意软件检测方面有一定的优势.在这里,我们提出一个新颖的基于URL的恶意软件检测方法行为建模.该方法利用实践中常见的恶意软件代码重用的现象.基于大数据内已知的恶意软件样本,我们可以提炼出简洁的功能模型,代表许多不同的恶意软件中常用的相似性连接行为.这个模型可以用于检测有着共同的网络特征的未知恶			

		

	

				

		

			

                花式勒索,仅去年12月新增33款勒索软件变种
			

		

		

									

				前言 整个2016年,勒索软件呈现出集中的爆发态势.那么,到底爆发到了什么程度?来看一下12月份的统计数据,相当令人震惊:整个12月份,出现了32个新勒索软件样本,并出现了33个勒索软件的新变种.安全专家发布了9款勒索软件的解密工具,他们的工作还是很有成效的,但是,与出现的速度相比,还有很大差距. 下面我们按照时间,来具体说明每天发生的勒索事件.及反勒索事件. 12月1日 (1)Matrix勒索软件首次出现,并使用了GnuPG加密系统 研究人员在实际环境中发现了一款新型勒索木马,叫做"Matri			

		

	

				

		

			

                亚信安全:2017年勒索软件与商业邮件欺骗将继续蔓延
			

		

		

									

				近日,云与大数据安全的技术领导者亚信安全发布了最新的安全威胁回顾与预测报告.报告指出,过去的一年是真正的勒索软件之年,新的勒索软件家族增长了748%,金融攻击以及商业电子邮件欺骗(BEC)骗局越来越受欢迎.同时,亚信安全还对未来一年网络安全威胁呈现的新形势进行预测:勒索软件的攻击手法和目标将更加多样化,物联网设备在DDoS攻击中将发挥重要作用,同时以企业为目标的安全攻击也将更具威胁. 2016年-全球勒索软件之年数据泄漏与网络攻击花样翻新 [2015-2016勒索软件数量对比图] 报告指出,在2			

		

	

				

		

			

                勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了
			

		

		

									

				近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类, 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS.SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS.HTTPS.SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗. 第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件.搜索引擎虚假			

		

	

				

		

			

                游戏安全资讯精选 2017年第十三期 Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长
			

		

		

									

				[本周游戏行业DDoS攻击态势] 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商.请请相关的用户做好DDoS 攻击的防护措施. [游戏行业安全动态] Recorded Future称美国在漏洞报告方面落后中国:<The Dragon Is Winning:Lags Behind Chinese Vulnerability Reporting> 点击查看原文 概要:美国国家漏洞库(NVD)中国国家漏洞库(CNNVD)的漏洞首次披露时间对比:美			

		

	

				

		

			

                王者荣耀爆勒索病毒,玩家手机可能被锁
			

		

		

									

				本文讲的是王者荣耀爆勒索病毒,玩家手机可能被锁, 上个月初,趋势科技检测到移动勒索软件SLocker再次出现变异,并将其命名为ANDROIDOS_SLOCKER.OPST,该变种已经会伪装成WannaCry的攻击界面,让受害人误以为他们是遭受了WannaCry的攻击. SLocker恶意软件家族是现存使用时间最长的移动锁屏和文件加密勒索软件之一,使用AES加密算法,然后要求受害者支付赎金才提供解密密钥.SLocker大约有400个变种,其中大多数变种会进行伪装,包含改变图标.应用程序名称.执行程			

		

	

				

		

			

                中国勒索软件数量增长超过67倍 多层防护机制是防御关键
			

		

		

									

				2016年7月14日,亚信安全发布了最新的勒索软件风险研究报告,分析了2015年9月-2016年6月的勒索软件增长以及防治态势.报告指出,在监测的十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍,这凸显了勒索软件日益严峻的威胁形态.安全专家提醒企业用户,要将勒索软件治理策略摆在更重要的位置,并在电子邮件与网页.终端.网络.服务器等多个层面搭建完整的多层防护机制,以保护企业信息资产的安全不受侵犯. 勒索软件出现爆发式增长 中国成为重灾区 报告显示,在2015年9月			

		

	

				

		

			

                RSA 2017:勒索软件成热点 收了赎金还撕票
			

		

		

									

				年度安全峰会RSA2017已于美国时间2月13日盛大开幕,按照惯例,RSA组委会会根据参会组织所属领域及发言人提报议题内容提炼相关的热门词,本届大会也不例外.DATA.CLOUD.THREAT.INTELLIGENCE等一直是近几年的热点领域,从过去两天的大会议题来看,今年又多了一个热点--Ransomware(勒索软件).   为什么勒索软件会成为今年热点 根据FBI发布的信息来看,2016年Q1发生的网络勒索事件中,被攻击者向黑客支付的赎金就超过2亿美元,而2015年一整年仅有2400万美元